Linux安全配置基线
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实施步骤: #cat /etc/ssh/sshd_config 查看 PermitRootLogin 是否为 no 修改方法: #vi /etc/ssh/sshd_config PermitRootLogin no
3.3 屏蔽登录 banner 信息
实施目的: 禁止 banner 信息,防止相关信息泄露。
实施目的: 限制权限提升。
实施步骤: #cat /etc/pam.d/su,查看是否有 auth required /lib/security/pam_wheel.so 这样的配
置条目。 加固方法: #vi /etc/pam.d/su 在头部添加: auth required /lib/security/pam_wheel.so group=wheel 这样,只有 wheel 组的用户可以 su 到 root #usermod -G10 test 将 test 用户加入到 wheel 组 如图
2、最小化服务 .............................................................................................................................................7 2.1 停止或禁用与承载业务无关的服务.................................................................................................7
1.5 检查 shadow 中空口令帐号
实施目的: 禁止空口令账号存在
实施步骤: #awk -F: '( == "") { print }' /etc/shadow 对空口令账号进行锁定,或要求增加密码
如图
美河学习在线 www.eimhe.com
2、最小化服务
2.1 停止或禁用与承载业务无关的服务
4、用户鉴别 .................................................................................................................................................9 4.1 设置帐户锁定登录失败锁定次数、锁定时间.................................................................................9 4.2 修改帐户 TMOUT 值,设置自动注销时间 ...................................................................................9 4.3 Grub/Lilo 密码设置 .........................................................................................................................10 4.4 限制 FTP 登录 .................................................................................................................................10 4.5 设置 Bash 保留历史命令的条数 ....................................................................................................10
实施目的: 停止或禁用与承载业务无关的服务
实施步骤: #who –r 或 runlevel 查看当前 init 级别 #chkconfig --list 查看所有服务的状态 #chkconfig --level <服务名> on|off|reset 设置服务在个 init 级别下开机是否启动
3、网络访问控制
3.1 使用 SSH 进行管理
实施目的: 使用加密的管理方式
实施步骤:
美河学习在线 www.eimhe.com
#ps –aef | grep sshd 查看有无 ssh 服务 如没有,使用命令开启 ssh 服务 #service sshd start
3.2 禁止 root 用户远程登陆
实施目的: 禁止 root 用户远程登录服务器
6、补丁策略 ...............................................................................................................................................12
5、审计策略 ............................................................................................................................................... 11 5.1 配置系统日志策略配置文件...........................................................................................................11 5.2 审计日志空间...................................................................................................................................12
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度 9 如图:
1.3 禁用 root 之外的超级用户
实施目的: 控制超级管理员账号。
实施步骤: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户 ID,(1 ~ 6000) 若用户 ID=0,则该用户拥有超级用户的权限。查看此处
bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon 等可根据需要锁定登陆。 安全加固方法: 使用命令 passwd -l <用户名>锁定不必要的账号。 使用命令 passwd -u <用户名>解锁需要恢复的账号。 如图
美河学习在线 www.eimhe.com
3、网络访问控制 .........................................................................................................................................7 3.1 使用 SSH 进行管理 ...........................................................................................................................7 3.2 禁止 root 用户远程登陆....................................................................................................................8 3.3 屏蔽登录 banner 信息 ......................................................................................................................8 3.4 防止使用 Ctrl+Alt+Del 重启系统....................................................................................................8
美河学习在线 www.eimhe.com
Linux 安全配置规范
来自百度文库
美河学习在线 www.eimhe.com
目录
1、 账户安全 ...............................................................................................................................................3 1.1 锁定系统中多余的自建帐号.............................................................................................................3 1.2 设置系统口令策略..............................................................................................................................4 1.3 禁用 root 之外的超级用户.................................................................................................................5 1.4 限制能够 su 为 root 的用户..............................................................................................................6 1.5 检查 shadow 中空口令帐号..............................................................................................................6
美河学习在线 www.eimhe.com
1、 账户安全
1.1 锁定系统中多余的自建帐号
实施目的: 清理与系统管理和应用没有关系的账号。
实施步骤: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:
是否有多个 ID=0。 group_ID:用户组 ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令
美河学习在线 www.eimhe.com
加固方法: 使用命令 passwd -l <用户名>锁定不必要的超级账户。
1.4 限制能够 su 为 root 的用户
1.2 设置系统口令策略
实施目的: 防止弱口令的使用
实施步骤: 使用命令#cat /etc/login.defs|grep PASS 查看密码策略设置
加固方法: #vi /etc/login.defs 修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
美河学习在线 www.eimhe.com
3.3 屏蔽登录 banner 信息
实施目的: 禁止 banner 信息,防止相关信息泄露。
实施目的: 限制权限提升。
实施步骤: #cat /etc/pam.d/su,查看是否有 auth required /lib/security/pam_wheel.so 这样的配
置条目。 加固方法: #vi /etc/pam.d/su 在头部添加: auth required /lib/security/pam_wheel.so group=wheel 这样,只有 wheel 组的用户可以 su 到 root #usermod -G10 test 将 test 用户加入到 wheel 组 如图
2、最小化服务 .............................................................................................................................................7 2.1 停止或禁用与承载业务无关的服务.................................................................................................7
1.5 检查 shadow 中空口令帐号
实施目的: 禁止空口令账号存在
实施步骤: #awk -F: '( == "") { print }' /etc/shadow 对空口令账号进行锁定,或要求增加密码
如图
美河学习在线 www.eimhe.com
2、最小化服务
2.1 停止或禁用与承载业务无关的服务
4、用户鉴别 .................................................................................................................................................9 4.1 设置帐户锁定登录失败锁定次数、锁定时间.................................................................................9 4.2 修改帐户 TMOUT 值,设置自动注销时间 ...................................................................................9 4.3 Grub/Lilo 密码设置 .........................................................................................................................10 4.4 限制 FTP 登录 .................................................................................................................................10 4.5 设置 Bash 保留历史命令的条数 ....................................................................................................10
实施目的: 停止或禁用与承载业务无关的服务
实施步骤: #who –r 或 runlevel 查看当前 init 级别 #chkconfig --list 查看所有服务的状态 #chkconfig --level <服务名> on|off|reset 设置服务在个 init 级别下开机是否启动
3、网络访问控制
3.1 使用 SSH 进行管理
实施目的: 使用加密的管理方式
实施步骤:
美河学习在线 www.eimhe.com
#ps –aef | grep sshd 查看有无 ssh 服务 如没有,使用命令开启 ssh 服务 #service sshd start
3.2 禁止 root 用户远程登陆
实施目的: 禁止 root 用户远程登录服务器
6、补丁策略 ...............................................................................................................................................12
5、审计策略 ............................................................................................................................................... 11 5.1 配置系统日志策略配置文件...........................................................................................................11 5.2 审计日志空间...................................................................................................................................12
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度 9 如图:
1.3 禁用 root 之外的超级用户
实施目的: 控制超级管理员账号。
实施步骤: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户 ID,(1 ~ 6000) 若用户 ID=0,则该用户拥有超级用户的权限。查看此处
bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon 等可根据需要锁定登陆。 安全加固方法: 使用命令 passwd -l <用户名>锁定不必要的账号。 使用命令 passwd -u <用户名>解锁需要恢复的账号。 如图
美河学习在线 www.eimhe.com
3、网络访问控制 .........................................................................................................................................7 3.1 使用 SSH 进行管理 ...........................................................................................................................7 3.2 禁止 root 用户远程登陆....................................................................................................................8 3.3 屏蔽登录 banner 信息 ......................................................................................................................8 3.4 防止使用 Ctrl+Alt+Del 重启系统....................................................................................................8
美河学习在线 www.eimhe.com
Linux 安全配置规范
来自百度文库
美河学习在线 www.eimhe.com
目录
1、 账户安全 ...............................................................................................................................................3 1.1 锁定系统中多余的自建帐号.............................................................................................................3 1.2 设置系统口令策略..............................................................................................................................4 1.3 禁用 root 之外的超级用户.................................................................................................................5 1.4 限制能够 su 为 root 的用户..............................................................................................................6 1.5 检查 shadow 中空口令帐号..............................................................................................................6
美河学习在线 www.eimhe.com
1、 账户安全
1.1 锁定系统中多余的自建帐号
实施目的: 清理与系统管理和应用没有关系的账号。
实施步骤: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:
是否有多个 ID=0。 group_ID:用户组 ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令
美河学习在线 www.eimhe.com
加固方法: 使用命令 passwd -l <用户名>锁定不必要的超级账户。
1.4 限制能够 su 为 root 的用户
1.2 设置系统口令策略
实施目的: 防止弱口令的使用
实施步骤: 使用命令#cat /etc/login.defs|grep PASS 查看密码策略设置
加固方法: #vi /etc/login.defs 修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
美河学习在线 www.eimhe.com